西北工业大学全面部署IPv6

文/胡燕玲 王康

建设背景

2017 年，中共中央办公厅、国务院办公厅发布《推进互联网协议第六版（IPv6）规模部署行动计划》（简称“两办行动计划”），实现互联网向IPv6 演进升级，用5 到10 年构建高速、移动、安全、泛在的新一代信息基础设施，促进互联网与经济社会深度融合，构筑未来发展新优势，为网络强国建设奠定坚实基础。

2018 年4 月，工信部发布关于贯彻落实《推进互联网协议第六版（IPv6）规模部署行动计划》的通知。

2019 年4 月，工信部发布《工业与信息化部关于开展2019 年IPv6 网络就绪专项行动的通知》（简称“工信部专项行动”），要求部属各高校于2019 年完成门户网站IPv6 改造，新建网站及外部系统应全面支持IPv6 访问。

在此背景下，西北工业大学（简称“西工大”）全面开展校园网IPv6 升级部署工作。

建设现状及规划

西工大校园网在建设初期就充分考虑了IPv6 接入需求，校园网出口拥有教育网CERNET2 10G 的IPv6 接入链路，使用带宽3Gbps，以及电信 20G 的IPv4/IPv6双栈接入链路，使用带宽15Gbps。校园有线网络支持IPv4/IPv6 双栈协议。校内师生使用校园网时能够同时获取IPv4 和IPv6 地址。

图1 下一代互联网国家工程中心IPv6 DNS 部署

实现用户端和校内资源向IPv6 全面升级是必然趋势，但需要经历一个较长的过渡阶段。两办行动计划中着重强调门户网站需要支持IPv6，但从学校目前网站及应用系统的现状而言，仍需要花费大量的精力。不同应用系统的数据库、Web 中间件、CMS 要全面支持IPv6,可能涉及到软硬件及代码中IPv6 地址函数的改动，存在一定的改造难度和未知的安全隐患。因此，西工大计划先通过双栈技术及地址翻译设备实现网站和应用系统的IPv6 过渡，加快落实工信部文件的重点目标要求，逐步推进完成以下工作：完善网络基础设施IPv6 能力，为全面对接IPv6 互联网做好支撑；着力推广IPv6 家用路由器使用，增强校内用户IPv6 访问活力；加快推进校内网站及业务系统向IPv6 升级，不断提升IPv6 应用生态容量；完善IPv6 网络安全管理制度体系，涵盖IPv6 防护技术和管理相关要求。

地址申请和管理

西工大在目前出口做NAT 内外网地址转换的基础上，拥有教育网三段/48 IPv6 地址，积极向教育网和运营商申请IPv6 地址，为后期全面建设并推广IPv6获取充足的地址资源。

1.教育网IPv6 地址

西 工 大 已 于2019 年6 月28 日 成功申请到教育网新一段/32 IPv6 地址240C:C283::/32。未来可满足校园网、业务专网、物联网建设过程中对独立子网的需求。

2.基础运营商IPv6 地址

西工大已于2019 年5 月6 日成功申请到电信新/48 的IPv6 地址240E:0658:0A21::/48和240E:0658:0A22::/48。

3.IPv6 地址管理

图2 双协议栈技术

西工大校园网针对IPv6 计划采用有状态地址自动配置机制，使用DHCPv6 为用户主机和服务器开通并分配IPv6 地址、IPv6 前缀、DNS 服务器等网络配置参数，解决常见的IP 地址冲突问题，实现IPv6地址的生命周期管理，满足用户行为审计和安全管理需求。

DNS 部署

1.下一代互联网国家工程中心IPv6 DNS 部署

为响应国家下一代互联网发展计划相关文件，西工大同下一代互联网国家工程中心积极推进教育网“一省一根”工作。

“根服务器”是全球互联网控制中枢，是互联网重要的战略资源，支持着全球互联网的信息查询和访问，是互联网最关键的信息资源库。国家发改委于2016 年6月将IPv6 根服务器列入国家“互联网+”产业重大支撑项目。西工大于2018 年11月同下一代互联网国家工程中心完成IPv6递归DNS部署，并在校园网内部测试运行。目前，正在积极推动教育行业IPv6 根镜像服务器的部署，计划为陕西地区教育网内部用户提供稳定高效的IPv6 DNS服务，如图1 所示。

2.校内IPv6 DNS 部署

由于互联网用户访问DNS 服务必须依赖全球DNS 系统，因此需要基础电信企业及各应用提供单位加快部署解析服务器和授权服务器。

西工大于2019 年5 月部署完成独立的IPv6 DNS，支持AAAA 记录、A6 记录和纯IPv6 的DNS 请求，提供多出口状态下IPv6 域名的智能解析业务，满足学校IPv6 权威域名解析及递归域名解析需要。IPv6 DNS 在过渡阶段能够支持IPv6 与IPv4 之间的网络地址与协议转换，实现IPv4 到IPv6 的平稳过渡。

升级方案及实践

1.校园网IPv6 站群升级

网站及应用系统的IPv6 升级可选择双协议栈和七层反向代理两种实现方式。

双协议栈技术要求涉及到用户同业务交互的站群系统、网络设备、安全设备、域名解析服务及后台支撑系统（AAA 和网管）能够同时运行IPv4 和IPv6 协议，是改造最为彻底的网站IPv6 升级改造技术，如图2 所示。

反向代理技术是通过服务器代理用户请求实现互联网用户对内部网络的访问。反向代理服务器能够在内网网站及应用系统保持IPv4 环境不变的基础上，满足IPv6 用户对业务的访问需求。

西工大针对站群系统上的门户及二级网站采用双协议栈技术进行IPv6 升级改造，对原有B/S 架构（或基于RDP、TELNET、SSH 的C/S 架构）的应用系统通过反向代理实现IPv6 过渡，同时对新建网站及应用系统提出IPv6 协议支持需求。

2.校园网IPv6 安全建设

两办行动计划提出了“两并举三同步”原则：“发展与安全并举，同步推进网络安全系统规划、建设、运行。”

西工大在开展站群IPv6 升级工作前期就已经完成校园网认证计费系统改造，全面支持IPv6 网络环境下用户的接入身份验证和计费；完成IPv6 出口改造，将IPv6 教育网链路并入出口防火墙做统一防护和行为审计；完成IPv6 DNS 权威解析及云防护，IPv6 DNS 能够解析外部用户对内网站群的访问请求，通过AAAA 记录将这些请求解析到云防护节点进行流量清洗，有效阻击DDoS 攻击和病毒入侵；完成数据中心站群IPv6 访问流量独立路由的部署，在不影响IPv4 业务访问的前提下，为IPv6 流量建立了抗DDoS、防火墙及WAF 三层防护体系。

3.校园网IPv6 建设成果

目前，西工大站群系统IPv6 已全面升级， 学校门户主页www.nwpu.edu.cn 通过全球IPv6 Forum 的IPv6 Enabled Phase-2 Logo 认证，Logo ID:W2-CN-00000017。完成工信部专项行动通知中对于部属高校门户网站IPv6 改造的工作时间要求。IPv6 Enabled Logo 动态测试报告显示西工大门户主页IPv6 支持情况，参见表1。

表1 西北工业大学门户主页IPv6 支持情况（2019 年11 月5 日）

西工大在本次站群升级中采用双协议栈技术，除校外云防护以外，实现了校内网络设备、安全设备、站群系统的整体IPv6 升级，加快了网络资源从IPv4 到纯IPv6 的过渡进程，为后续已有应用系统改造、新建应用系统，提供了IPv6 基础承载网络。